Intervention de Marie-France Lorho

Les Français, c'est le moins que l'on puisse dire, ont un fort déficit de confiance à l'égard des institutions européennes en ce qui concerne leur sécurité. Ils professent une confiance mesurée à l'égard de Bruxelles, en raison même de la constitution de ces institutions. La présence massive de groupes d'intérêts et de groupes de pression auprès de la Commission européenne comme du Parlement européen, les moyens que les GAFA – Google, Apple, Facebook, Amazon – et autres mastodontes économiques et financiers peuvent déployer et la faible cohésion européenne sont autant de critères objectifs de ce doute.

En effet, comment pourrions-nous définir un cadre commun, transposé dans chacune de nos législations, quand des enjeux internationaux nous séparent avec tant de vigueur ? Protégerons-nous des données dans un cadre commun alors que nous sommes en désaccord majeur sur l'attitude à adopter vis-à-vis de la Russie ou de la crise ukrainienne ? Protégerons-nous des données dans un cadre commun alors que la France reçoit sur son sol les ministres turcs en campagne tandis que l'Allemagne les accuse de chercher à troubler l'unité nationale ? Protégerons-nous des données dans un cadre commun alors que des campagnes d'opinion agressent des pays comme la Pologne ou la Hongrie ? Protégerons-nous des données dans un cadre commun alors qu'une immense puissance de renseignement et d'influence comme le Royaume-Uni vient de se retirer de nos accords ? C'est une question à poser, car ce n'est pas le droit qui crée les situations. La présence, par exemple, de nombreux diplomates britanniques dans les services diplomatiques de l'Union européenne pose une vraie question quant au jour où nous voulons mettre en oeuvre ce fameux cadre commun. On ne fait de cadre commun qu'ordonné à des objectifs communs. Gérer une crise internet, oui – encore eût-il fallu préciser dans quelles conditions ! Prétendre à une transcription uniforme dans des États aux politiques divergentes, non !

Je reconnais la valeur du travail de certains de mes collègues. Ainsi, le rapport de Christian Euzet établit avec clarté les enjeux de notre discussion : « L'ensemble des secteurs d'activité sont susceptibles de faire l'objet d'une attaque informatique d'envergure, dont l'impact peut aller jusqu'à la paralysie de pans entiers de l'économie. » Le moins que l'on puisse dire, c'est que, devant la menace de paralysie de pans entiers de notre économie, un long et complet projet de loi, ciblé sur la seule question de la protection des données informatiques, eût été nécessaire. Se concentrer sur cette partie du texte nous aurait certainement permis de préciser les notions, de distinguer avec plus de clarté les acteurs, en un mot, de faire comprendre au plus grand nombre de quoi nous parlons.

Il n'y aurait en cette matière rien de plus insupportable pour les Français que des dispositions vagues gérées par les administrations. Nous en avions d'ailleurs l'expérience avec la création en 2013 des OIV, les opérateurs d'importance vitale. La loi de programmation militaire de 2013 a fait naître des obligations sur les épaules des opérateurs d'importance vitale, ceux « pour lesquels l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ».

Ajoutons que l'émergence de nouveaux enjeux, comme les monnaies purement numériques, la sécurisation des contrats par codage informatique ou même l'établissement de politiques commerciales sur le fondement de données récoltées sur le net, méritent ces précisions. L'émergence d'un monde multipolaire et connecté fait en effet de chaque personne et de chaque famille un sujet de sécurité. Le possesseur d'une télévision connectée ou d'une imprimante dernier cri peut être la victime d'une intrusion, d'une manipulation, d'un vol d'identifiant. L'émergence du darknet accroît la difficulté de la responsabilité démocratique face à ces enjeux. Alors que les menaces se désincarnent tout en s'universalisant, nos textes de loi devraient être limpides. Or cette transcription ne l'est pas, peut-être d'ailleurs parce que l'univers géopolitique de la directive était lui-même confus.

Nous travaillons ce texte à partir d'une directive de juillet 2016 qui vise à établir un cadre européen de lutte contre la cybercriminalité. Comme je l'ai dit, cela appelle une certaine inquiétude, tant l'Union européenne est suspecte d'inefficacité en ces sujets. Il faut poser la question de la pertinence de ce cadre. L'Union européenne a été incapable de procurer asile et protection aux lanceurs d'alerte qui dénonçaient l'espionnage de masse de la NSA – National Security Agency. Elle montre son malaise constant devant les travaux de Julian Assange ; elle n'a pas le courage de l'émancipation face aux visées impérialistes qui sont présentes dans la guerre du net.

Poursuivons : le cadre européen est-il sain parce qu'il recouvrirait des intérêts stratégiques communs ? Je pense que chacun, quelles que soient ses opinions politiques, peut convenir que non. François Mitterrand n'était pas d'accord avec l'Allemagne au sujet des Balkans ; Nicolas Sarkozy n'était pas d'accord avec l'Italie sur la Libye ; François Hollande ne l'était pas non plus avec ses partenaires à propos de l'Afrique. Quant à l'OTAN – l'Organisation du Traité de l'Atlantique Nord – , notre alliance militaire, elle voit les États-Unis et la Turquie batailler par milices interposées en Syrie.

Dans le résumé de l'étude d'impact sur la directive NIS, il est précisé que les États membre « devront notamment se doter d'autorités nationales compétentes en matière de cybersécurité, d'équipes nationales de réponse aux incidents informatiques (CSIRT) et de stratégies nationales de cybersécurité ».

La France a les moyens de mettre en oeuvre cette directive, mais tous ses partenaires européens possèdent-ils ces moyens ? Quelles entreprises viendront former leurs agents, décrire leur architecture informatique ? S'est-on assuré que seules des entreprises nationales le feront ? Verra-t-on la Russie et les États-Unis se battre pour former ces architectures dans des pays moins fortunés ?

Imaginons, comme c'est actuellement le cas avec la Catalogne, qu'un État soit en prise avec des expressions d'identités locales visant à l'indépendance ! Quelles seront les conséquences à l'échelon européen ? La loi française sera-t-elle alors un handicap, voire un sujet de tensions avec des États ? Comment l'ANSSI devra-t-elle alors réguler ses rapports avec de tels partenaires ou leurs opérateurs ?

Je crois important de poser ces questions si l'on prend en compte les informations contenues dans l'étude d'impact : « L'application de la loi française aux fournisseurs de services numériques dépendant du choix autonome de ces entreprises quant à l'État dans lequel elles établiront leur représentant, l'estimation du nombre de fournisseurs concernés par la nouvelle réglementation française est malaisée. Il est vraisemblable, cependant, au vu du marché actuel que le projet de loi ne concernera au plus que quelques dizaines d'entreprises principalement d'origine étrangère. »

Nous voici donc face à un enjeu qui révolutionne l'histoire des relations internationales. Nous comptons sur la sincérité de la démarche des fournisseurs de services numériques pour la préservation des données françaises. Le moins que l'on puisse dire, c'est que le réalisme n'étouffe pas ce projet de transcription.

Et l'étude d'impact inquiète davantage encore lorsqu'elle nous dit : « Les fournisseurs de service numérique ne seront pas désignés par l'autorité administrative. Ils s'identifieront eux-mêmes au regard de la définition de ces fournisseurs donnée par la directive et reprise à l'identique dans le projet de loi. » On espère qu'ils enverront aussi des fleurs à nos services après s'être battus, sans intérêt économique, pour la sauvegarde de la sécurité de nos familles. En somme, nous transposons une directive déjà marquée par une forme de naïveté diplomatique, qui postule une bonne volonté collective des acteurs et, en outre, montre ses faiblesses dans la simple actualité géopolitique européenne.

Là où le texte, au contraire, veut de l'intransigeance, c'est sur l'armement. On pourrait le comprendre, et, à la lecture de l'exposé des motifs, nous nous attendions à une remise en cause européenne du fait établi de zones de non-droit en France, où armes et mafias se rejoignent. Mais cette réalité de la partition de notre territoire n'est pas évoquée. Les mêmes articles traitent des armes de collection, des armes d'appoint, des armes de loisir pour la chasse et des calibres de guerre. Quel embrouillamini !